Gobiernos y empresas pelean por uno de los bienes más preciados del siglo: la gestión de la identidad

A Sócrates se le reconocía en Atenas por sus ojos saltones y nariz de boniato. A Platón por sus espaldas fornidas. Y de Leonardo Da Vinci se cuenta que solía ir engalanado con túnicas caras, tejidas con materiales exquisitos y de finos tintes, que llevaba el pelo largo y las manos cuidadas y perfumadas. Hoy pueden parecer anécdotas, pero en su día el aspecto de los tres sabios —al igual que el del resto de sus contemporáneos— era clave. La razón es simple: además de espejo del alma, el rostro era el mejor carné de identidad, la forma más eficaz de identificar a otra persona.

Con el paso del tiempo una cara embrutecida, una espalda robusta o un armario digno de Versace han perdido validez como credenciales. En su lugar se ha echado mano de otros recursos: pasaportes, carnés, licencias, huellas dactilares... Y desde que la tecnología ha empezado a alambicar las relaciones sociales y económicas, el proceso se ha vuelto incluso más complejo.

Identificarse en Facebook, en Twitter, en la web de una aerolínea para comprar un vuelo, en la de un servicio de venta de entradas o en Amazon requiere de un mecanismo bastante distinto: teclear una serie de datos personales —la cantidad dependerá de cada caso— y con frecuencia introducir claves. Un rosario de claves. Hace ya más de un lustro, un estudio de Microsoft estimaba que, por término medio, cada persona manejaba 25 cuentas que requieren de contraseña.


Una pieza clave para la economía digital

A medida que las relaciones sociales, comerciales e incluso con la propia administración pública ganan peso en la esfera digital, lograr una identidad en línea fiable se convierte en un reto cada vez más acuciante. Y rentable, también. En un artículo publicado por El País en 2007, Alex Preukschat, coordinador del libro Blockchain: la revolución de Internet, incide por ejemplo en que la identidad digital es clave para alcanzar una economía descentralizada, un ecosistema blockchain.

La explicación es sencilla: para realizar transacciones digitales o determinadas gestiones resulta fundamental que el usuario tenga a mano una herramienta fiable —y además ágil— con la que poder acreditar que es quien dice ser. O lo que es igual de importante, que cumple los requisitos para hacer ciertas operaciones, como por ejemplo comprar alcohol porque es mayor de edad.

Como detalla Preuckschat, con ese fin se han desarrollado dos grandes paradigmas de identidad digital que se diferencian básicamente por quién maneja en cada caso la información: el propio usuario, lo que genera un modelo descentralizado (self sovereign identity); o un agente especializado que centraliza los datos. En este último caso el autor identifica dos escenarios en función de si los servicios los prestan empresas privadas —sobre todo bancos y firmas ligadas a la tecnología—, como ocurre con TUPAS en Finlandia y BanKID en Suecia, o la administración pública.

La verificación de la identidad digital es clave para las transacciones en Internet. Los sistemas deben ser ágiles y contar con la confianza de los agentes implicados


El coordinador de Blockchain: la revolución de Internet apunta el potencial de un escenario en el que sea el ciudadano quien gestione su identidad digital soberana. Sobre todo ahora que cada persona genera un flujo constante de información a través de los dispositivos electrónicos que maneja. Uno de los estándares más populares para la identificación descentralizada es OpenID.

De lo que no cabe duda es de lo mucho que beneficiaría a las empresas disponer de una herramienta de gestión segura y fiable, un sistema que permitiera a todas las partes tener la certeza absoluta de quién está sentado al otro lado. Solo en Reino Unido se invierten cada año cerca de 3.300 millones de libras esterlinas en procesos para asegurar la información. Incluso los propios bancos están uniendo energías para buscar fórmulas comunes que les permitan verificar la identidad de sus clientes. A pesar de esos esfuerzos, el robo de identidad sigue siendo un problema grave. Según una encuesta de SailPoint, preocupa a dos de cada tres profesionales.

En su informe Digital Identity: Restoring Trust in a Digital Word, lanzado el pasado marzo, Mastercard incide en que un sistema de credenciales eficiente es "fundamental" para asentar la confianza sin la que difícilmente podrán aumentar las interacciones digitales. Recalca además que el modelo debe ser claro y comprensible. "Las interacciones digitales deben mejorar la privacidad, ser seguras, inteligentes y eficientes y serán posibles gracias a una identidad centrada en el usuario que es propiedad, administrada y controlada por el individuo y que le permite interactuar con las organizaciones participantes. Un servicio de identidad digital reutilizable es imposible sin la compresión clara, la confianza y compromiso del usuario", recalca la multinacional.




"La ausencia de una forma simple, segura y confiable para que las entidades verifiquen la identidad a través de canales digitales genera fricciones en el comercio, degrada la privacidad y restringe el acceso a los servicios. También supone un terreno fértil para el fraude digital, que es cuatro veces mayor que la tasa de fraude físico", añade la marca de tarjetas de crédito y débito: "La identidad digital aborda esto mediante la incorporación de métodos tecnológicos de verificación que han alcanzado nuevos niveles de precisión y funcionan en múltiples dispositivos".

Para la firma neoyorquina resulta evidente que solo se alcanzará un modelo eficaz si los diferentes agentes implicados trabajan codo con codo. "No existe un solo gobierno, firma tecnológica, institución financiera o incluso sector industrial que pueda entregar un servicio de identidad digital de manera efectiva por sí mismo. Se requiere co-dependencia, colaboración, asociación y orquestación. Esto nos permite lograr juntos lo que es imposible en solitario", zanja Mastercard: "Un sistema basado en la colaboración es el mejor modelo para gestionar las interacciones digitales en el futuro".

El escenario que plantea la multinacional es ambicioso y va mucho más allá de las compras online. El objetivo es "un mundo en el que las personas y sus dispositivos puedan interactuar digitalmente entre sí y con las organizaciones, sin fricciones innecesarias y con confianza". Un matiz —el de "sus dispositivos"— en el que MasterCard incluye por ejemplo ordenadores, smartphones, smart-homes, coches inteligentes, portátiles o dispositivos como Echo o Alexa. "Cada vez más, la interacción es digital y nuestras identidades son utilizadas no solo por nosotros, sino por la gran cantidad de dispositivos que actúan en nuestro nombre", abundan desde la marca de tarjetas.


Si es gratis y no hay producto es que lo eres tú: las redes sociales ofrecen servicios de verificación de identidad, pero a cambio de información que pueden rentabilizar


Grandes compañías tecnológicas como Facebook no han tardado en ver el potencial de la identidad digital y se han lanzado a prestar servicios de verificación. No lo hacen de forma altruista, ni en un intento por potenciar ese nuevo escenario que dibujaba Preuckschat. Lo que buscan son datos. Mejor dicho: el negocio que hay detrás de los datos personales de los usuarios. "Las empresas ven un nicho de negocio importante. Facebook, Google y Twitter toman la delantera y empiezan a ofrecerse a sí mismas como proveedoras. Ya nos hemos ido acostumbrando poco a poco a que, cuando vamos a autenticarnos para comprar un servicio, si tenemos una cuenta creada, son ellos los que comprueban nuestra identidad digital", anota Marta Beltrán, coordinadora del Grado en Ingeniería de la Ciberseguridad en la Universidad Rey Juan Carlos (URJC).

"Estas grandes tecnológicas que se ofrecen como proveedoras de identidades y simplifican mucho la gestión no lo hacen a cambio de nada. Todos percibimos que esto se hace gratis porque no se paga por ese servicio. Pero, ¿Qué es lo que hay detrás? Google, Facebook o Twitter recogen información sobre lo que tú haces en Internet, van haciendo un perfil sobre qué servicios y aplicaciones usas, a qué horas, para qué... En principio lo percibimos como gratuito, pero sí que estamos pagando, estamos pagando con nuestros propios datos", añade.

La experta de la universidad madrileña señala que hasta ahora había dos actores que se habían quedado "un poco atrás" en esa carrera por gestionar la identidad digital, las entidades financieras y las operadoras de telecomunicaciones. Ambos gozan de una posición privilegiada por la información que manejan sobre los usuarios.

"Google, Facebook o Twitter raspan de nuestra identidad, pero al fin y al cabo lo hacen con el nombre que usamos en su servicio y nuestra cuenta de correo; no suelen conocer nuestro DNI, número de pasaporte o carné de conducir. No pueden saber al 100% quienes somos de verdad. Nos conocen en el mundo digital, no en el real".


"Las operadoras de telecomunicaciones y los bancos sin embargo sí saben quiénes somos. Tienen una ventaja y es que pueden responder por nosotros realmente. Cuando yo me autentico, Google puede tener dudas sobre quién soy en realidad, pero mi entidad financiera y operadora sí saben quién soy. Ambos están ofreciéndose como proveedores de identidades, sobre todo en lo que tiene que ver con la administración electrónica", apostilla la profesora de la URJC.


Google, bancos y operadoras no son las únicas empresas que han visto un nicho de negocio en la autenticación digital. El reto que supone ha alentado a compañías como Mitek, que entre sus servicios ofrece soluciones de verificación de identidad. A finales de 2017 la compañía anunciaba la adquisición de la firma catalana ICAR, que solo unos meses antes había presentado durante el Mobile World Congress —junto la alicantina FacePhi— una herramienta para validar la identidad digital. Según apuntaron entonces sus promotores, "Me" —el nombre que escogieron para bautizarla— brindaba la primera tecnología capaz de validar el documento de identidad, comparar rasgos biométricos de forma simultánea, hacer una prueba de vida, geolocalizar al usuario mediante el terminal y verificar por redes sociales y buscadores la identidad del usuario.


Los esfuerzos (sin demasiado éxito) del Gobierno


También el sector público se ha unido a la carrera, aunque en el caso de España sus resultados no son alentadores. Pese a los esfuerzos del Gobierno, el uso del DNI electrónico —la versión DNIe, expedida entre 2006 y 2015, y el DNI 3.0, lanzado hace cuatro años— es muy minoritario. Un estudio de la Universidad de Zaragoza concluía en 2017 que solo el 4,6% de sus usuarios lo habían empleado en los trámites de la institución. Según ese mismo análisis, apenas el 16,9% de las personas con certificado electrónico sacaba provecho del DNIe. Otro informe elaborado años antes, el eEspaña 2014, aseguraba que utilizaban el DNIe el 0,02% de los ciudadanos que lo tenían.



El DNIe no solo tuvo un pobre arraigo en la sociedad, su implantación en España estuvo empañada por la polémica. A finales de 2017, por ejemplo, el Ministerio de Interior decidía desactivar el certificado digital de parte de los DNIe tras detectarse un grave problema de seguridad en el certificado electrónico. La alarma saltó después de que se descubriera la misma vulnerabilidad en Estonia, un referente internacional en la implantación de las TIC en la gestión pública y donde se anularon también más de 750.000 certificados digitales para salvaguardar la protección de los datos de los ciudadanos.

En Canadá, Bélgica o Estonia los esquemas de identidad digital están en marcha, pero —apunta el informe de MasterCard— sus plataformas "no son globales ni interoperables". "Su uso fuera de las interacciones del gobierno a menudo es limitado e inexistente. El reto, incide el estudio, es traspasar fronteras. Sin estándares e interoperabilidad, la identidad digital no puede escalar más allá de las implementaciones regionales".

"Si haces un DNIe que no es práctico, la gente no lo va a utilizar. De ahí nos hemos pasado al otro sistema, el de las empresas. Se tenía que haber pensado mejor la usabilidad del DNIe y los certificados electrónicos", señala Jorge Campanillas, abogado especialista en Derecho de las Tecnologías de la Información y Comunicaciones del despacho Iurismatica, quien destaca que aunque los ciudadanos "cada vez están más concienciados sobre la privacidad" y hay un marco normativo que los protege, a menudo permiten que empresas como Facebook tengan acceso a sus datos. "Creo que vamos por el buen camino, pero queda mucho margen de mejora", añade.

"Cada vez la normativa nos da más herramientas para acceder a la información. Tenemos más posibilidades, lo que pasa es que el mundo también es más complejo y no somos conscientes de todos los servicios o aplicaciones que podemos estar utilizando en el día a día", abunda Campanillas. A nivel europeo la privacidad está regulada por el Reglamento General de Protección de Datos (RGPD). Más reciente es la entrada en vigor del conocido como eIDAS, el reglamento que establece además el marco legal común para la identificación electrónica en la Unión Europea.

A pesar de los reiterados intentos por implantar el DNIe, su nivel de aceptación actual en España es muy bajo. El sistema se vio empañado además por graves fallos


"Hoy por hoy tanto la normativa de protección de datos como las demás normativas tienen herramientas necesarias para que el usuario pueda gestionar su identidad digital. Otra cosa es que las sepa utilizar, pero contamos con las herramientas suficientes para proteger nuestra identidad en Internet, por lo menos desde el punto de vista de la autentificación como usuario", reflexiona José Leandro, abogado de Audens experto, entre otras áreas, en protección de datos.

Más que falta de legislación, el letrado aprecia la necesidad de una mayor pedagogía para que los ciudadanos comprendan la importancia de la información que generan. "Los usuarios no tienen conciencia del valor que tienen sus datos. Hay una parte de la población que sí, pero en líneas generales la gente no es consciente de las consecuencias de compartir según qué cosas, no cambiar de contraseña o hacerlo con niveles de protección bajos... No comprendemos las consecuencias que puede tener un ataque para nuestra identidad digital", razona Leandro.


Desde la Asociación Profesional Española de Privacidad (Apep), su presidenta, Cecilia Álvarez, invita a reflexionar sobre cuándo y cómo sería necesario acreditar una identidad digital. "Probablemente esta cuestión pueda ser menos relevante si se requiere la participación del usuario en una encuesta de satisfacción que si de la correcta autentificación depende el uso de fondos de una cuenta bancaria, el acceso a resultados clínicos o la entrada a un casino", anota.

Álvarez recuerda que la ley exige a las empresas una obligaciones de transparencia e información que en ocasiones somete a los usuarios a un "bombardeo" de conceptos técnicos que "perjudica" el objetivo final. La responsable de Apep reconoce que imponer el uso de un identificador electrónico gestionado por el Estado para las interacciones en Internet solucionaría parte de los problemas, siempre que se adoptaran salvaguardas sobre la información que la administración podría mantener. En cualquier caso, apunta que una medida de ese tipo debería estar armonizada con el conjunto de la UE para que resultara útil también durante los trámites en otros países vecinos.

"Cualquiera que sea el custodio de nuestra identidad digital, el Estado, un gestor personal privado de cada usuario u otros prestadores de servicios de autenticación, está sometido al RGPD. Ninguna alternativa es perfecta y requiere de un análisis del impacto en la privacidad de los individuos y la adoptación de salvaguardas auditables", concluye la presidenta de Apep.








Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En un informe de auditoría publicada recientemente por la NASA, dio a conocer que en abril de 2018 que hackers accedieron a la red de la agencia espacial y robaron unos 500 MB de datos relacionados con las misiones de Marte.

Según el informe del estudio, los hackers se infiltraron en el Jet Propulsion Laboratory (JPL), un centro de investigación y desarrollo financiado por la NASA en Pasadena, California. El informe también identifica otros incidentes de violación de datos y robo de información en las distintas misiones de la agencia.


La NASA, en los últimos 10 años, JPL ha experimentado varios incidentes notables de ciberseguridad que han comprometido segmentos significativos de su red de computadoras.

Ya que en 2011, hackers obtuvieron acceso total a 18 servidores que soportaban misiones clave de JPL y supuestamente robaron aproximadamente 87 GB de datos.

Más recientemente, en abril de 2018, JPL descubrió que una cuenta de usuario externo había sido comprometida y utilizada para robar unos 500 MB de datos de uno de sus sistemas de misión principales.



La OIG informó a través del informe que el JPL está plagado de numerosas deficiencias de control de la seguridad informática que limitan su capacidad para prevenir, detectar y mitigar los ataques dirigidos a sus sistemas y redes.

Esta debilidad en el sistema de seguridad JPL expone los diversos sistemas y datos de la NASA a varios ataques de los hackers.

JPL utiliza su base de datos de Seguridad de la Tecnología de la Información (ITSDB) para rastrear y administrar activos físicos y aplicaciones en su red.

Sin embargo, la auditoría encontró que el inventario de la base de datos era incompleto e inexacto, una situación que pone en peligro la capacidad de JPL para monitorear, informar y responder efectivamente a incidentes de seguridad.

Los administradores de sistemas no actualizan sistemáticamente el inventario al agregar nuevos dispositivos a la red.

Específicamente, se encontró que 8 de los 11 administradores de sistemas responsables de administrar los 13 sistemas de muestra de estudio mantienen una tabla de inventario separada de sus sistemas, desde la cual actualizan la información periódicamente y manualmente en la base de datos ITSDB.

Además, un administrador de sistemas declaró que no ingresaba regularmente nuevos dispositivos en la base de datos ITSDB porque la función de actualización de la base de datos a veces no funcionaba.

Luego se olvidó de ingresar la información del recurso.

Como resultado, los recursos pueden agregarse a la red sin ser identificados y verificados adecuadamente por los oficiales de seguridad.

Por ejemplo, para el ataque cibernético de abril de 2018, el que permitió a los atacantes robar unos 500 MB de datos sobre las distintas misiones de la NASA en el planeta Marte explotó esta debilidad particular cuando el hacker accedió a la red JPL con una Raspberry Pi no autorizada para conectarse a la red JPL.

Los hackers utilizaron este punto de entrada para infiltrarse en la red JPL mientras hackeaban una puerta de enlace de red compartida.

Esta acción permitió a los atacantes obtener acceso a los servidores que almacenan información sobre las misiones a Marte llevadas a cabo por el laboratorio JPL de la NASA, desde donde filtraron unos 500 MB de datos.

El ciberataque del incidente de abril de 2018 aprovechó la falta de segmentación de la red JPL para moverse entre varios sistemas conectados a la pasarela, incluidas varias operaciones de la misión JPL y el DSN.

Como resultado, en mayo de 2018, los gerentes de seguridad de TI del Johnson Space Center que administran programas como el Orion All-Wheel Crew Vehicle y la Estación Espacial Internacional decidieron desconectarse temporalmente del puente para razones de seguridad.

Los funcionarios temían que los ciberataques cruzaran lateralmente el puente hacia sus sistemas de misión, lo que podría obtener acceso.

Dicho esto, la NASA no mencionó ningún nombre directamente relacionado con el ataque de abril de 2018. Sin embargo, algunos suponen que esto podría estar relacionado con las acciones del grupo de hackers chinos conocido como el nombre de Advanced Persistent Threat 10, o APT10.








Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nodo se llamará el hotel que con una exclusiva tecnología permitirá purificar el aire y descontaminar. Mira el proceso para lograrlo.

En la calle Suecia de Providencia en Santiago de Chile se construirá el primer edificio en Latinoamérica que tendrá un sistema de purificación de aire que permitirá descontaminar.

Se trata de Hotel Nodo, que con HYDROTECT hará posible esto: se trata de una cerámica, desarrollada en Italia, que recubre la superficie del edificio y hace que el revestimiento reaccione a la acción de los rayos solares, descomponiendo y neutralizando nitrógeno y óxidos de azufre.


Este innovador sistema funciona eliminando los componentes contaminantes del ambiente cuando estos entran en contacto con la superficie del edificio tratada con esta tecnología. La radiación solar genera una reacción en el material que forma oxígeno activo y anula las sustancias nocivas. Además, es antibacteriana y auto lavable por lo que no se exagera al decir que es una tecnología limpia.



Hablan los responsables de NODO

Mauricio Meyer, gerente general de Hotel NODO, comenta más de esta iniciativa "para que nos hagamos una idea, 150m2 de esta tecnología equivalen a 1.000 m2 de bosque con todos sus beneficios de purificación de aire, por lo que nos sentimos orgullosos de traer a Santiago este maravilloso hotel que con sus 2.300m2 de fachada igualará a un bosque de hectárea y media purificando el aire de la comuna de Providencia".

Hotel NODO, una inversión de 23 millones de dólares, es propiedad del Grupo Alpa, holding de empresas donde también se encuentran MaxiK, Breti, Caprioli, Neuralis e Inmobiliaria Suecia. Esta pieza arquitectónica tiene un capacitado equipo detrás, encabezado por su gerente general, Mauricio Meyer, quien posee una amplia carrera en el sector hotelero en Chile, responsable de la materialización de esta propuesta de valor que llegará a cambiar el aire de Santiago a finales del presente año y que se encuentra en planes de expansión, tanto dentro como fuera de Chile.





Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Con la aprobación de Donald Trump, el Pentágono lanzó ataques cibernéticos contra el sistema de misiles de Irán


El presidente de EEUU, Donald Trump, aprobó un ataque cibernético ofensivo que desactivó los sistemas informáticos iraníes utilizados para controlar los lanzamientos de cohetes y misiles, según informó a The Washington Post gente familiarizada con el asunto.

Los ataques cibernéticos, lanzados la noche del jueves por personal del Comando Cibernético de Estados Unidos, estuvieron en preparación durante semanas, si no meses, según dos de estas personas, que dijeron que el Pentágono propuso lanzarlos después de los supuestos ataques de Irán a dos petroleros en el Golfo de Omán a principios de este mes.

El ataque contra el Cuerpo de la Guardia Revolucionaria Islámica se coordinó con el Comando Central de Estados Unidos, la organización militar con actividades en todo el Medio Oriente, dijeron estas personas que hablaron bajo la condición del anonimato porque la operación sigue siendo extremadamente delicada.

La operación, aunque paralizó los sistemas de mando y control militar de Irán, no supuso una pérdida de vidas o de bajas civiles, a diferencia de un ataque militar convencional contra Irán al que Trump dijo que decidió cancelar a último momento el jueves porque no sería "proporcionado".

La Casa Blanca se negó a hacer comentarios, al igual que los funcionarios del Comando Cibernético de Estados Unidos. La portavoz del Pentágono Elissa Smith dijo: "Por razones de política y de seguridad operativa, no hablamos de operaciones en el ciberespacio, ni de inteligencia ni de planificación".

Los ataques cibernéticos fueron reportados por primera vez este sábado por Yahoo News.

"Esta operación impone costos a la creciente amenaza cibernética iraní, pero también sirve para defender a la Marina de los Estados Unidos y las operaciones de transporte marítimo en el Estrecho de Ormuz", dijo Thomas Bossert, ex alto funcionario cibernético de la Casa Blanca en la administración Trump.

"Nuestro ejército estadounidense sabe desde hace mucho tiempo que podríamos hundir todos los barcos de la Guardia Revolucionaria iraní en el estrecho en 24 horas si fuera necesario. Y esta es la versión moderna de lo que la Marina de los EEUU tiene que hacer para defenderse en el mar y mantener las rutas internacionales libres de interrupciones iraníes".




Los ataques del jueves contra la Guardia Revolucionaria representaron la primera demostración de fuerza ofensiva desde que el Comando Cibernético fue elevado a un comando de combate completo en mayo.

Cybercom lanzó una operación contra Rusia el otoño pasado para negar a los "trolls" de Internet afiliados a la Agencia de Investigación de Internet la capacidad de llevar a cabo operaciones de influencia política en las plataformas de medios sociales de Estados Unidos. Pero la operación contra Irán fue más incapacitante.

"Esto no es algo que puedan volver a armar tan fácilmente", dijo una persona que, al igual que otras, no estaba autorizada a hablar en nombre de la comunidad.

El ataque digital fue un ejemplo, dijeron dos personas, de lo que el asesor de seguridad nacional John Bolton quiso decir cuando sugirió recientemente que Estados Unidos está intensificando la actividad cibernética ofensiva. "Ahora estamos abriendo la abertura, ampliando las áreas en las que estamos preparados para actuar", dijo Bolton en una conferencia del Wall Street Journal.

En abril, Estados Unidos designó a la Guardia Revolucionaria de Irán como una organización terrorista extranjera en respuesta a su comportamiento desestabilizador en todo el Medio Oriente.

Las fuerzas cibernéticas iraníes han intentado piratear los buques de guerra y las capacidades de navegación de Estados Unidos en la región del Golfo Pérsico durante los últimos años. El Estrecho de Ormuz es una vía marítima de importancia estratégica por la que pasa diariamente una quinta parte del petróleo del mundo.

Este sábado el Departamento de Seguridad Nacional de EEUU advirtió al sector industrial que Irán ha intensificado sus ataques cibernéticos contra industrias sensibles -incluidos el petróleo, el gas y otros sectores energéticos- y agencias gubernamentales, y que tiene el potencial de perturbar o destruir sistemas.

"No hay duda de que ha habido un aumento en la actividad cibernética iraní", dijo Christopher Krebs, director de la Agencia de Ciberseguridad y Seguridad de Infraestructura del DHS. "Los actores iraníes y sus representantes no son sólo ladrones de datos comunes y corrientes. Estos son los tipos que entran y queman la casa".

Krebs en una entrevista dijo: "Necesitamos que todos se tomen muy en serio la situación actual. Observe cualquier incidente potencial que tenga y trátelo como el peor de los casos. Esto no es esperar a que se produzca una violación de datos... Se trata de perder el control de tu entorno, de perder el control de tu ordenador".

Irán ha desatado ciberataques destructivos en el pasado. En 2012, lanzó el virus Shamoon, que casi destruyó más de 30.000 computadoras de red de negocios en Saudi Aramco, una empresa petrolera estatal, y borró copias de seguridad de los datos. Arabia Saudita e Irán son adversarios feroces.

Los analistas del sector privado han documentado un aumento gradual de la actividad cibernética iraní dirigida a la industria estadounidense desde 2014. Se ha presentado en forma de intentos de robo con arpones para acceder a los sistemas informáticos del sector de la energía.

"En el último año, la actividad se ha acelerado", dijo Robert M. Lee, cofundador de la empresa cibernética Dragos, que realizó operaciones para la Agencia Nacional de Seguridad y el Comando Cibernético de Estados Unidos entre 2011 y 2015. "En los últimos seis meses vimos otro ataque. Y la semana pasada, vimos actividad adicional".

"La realidad es que hemos estado viendo más y más actividad agresiva durante bastante tiempo", dijo. "Está empeorando".




Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Has olvidado la contraseña de alguna de las WiFi a la que te has conectado y ahora no puedes conectar otros dispositivos? Así puedes ver las contraseñas WiFi guardadas en Windows 10

Olvidar las contraseñas en Windows es algo bastante habitual para la mayoría de usuarios. Esta propensión al olvido se agrava todavía más al tratarse de contraseñas que no se usan a menudo como son las contraseñas WiFi.

Por suerte, en estos casos, es posible recuperar las contraseñas de aquellas redes WiFi a las que te hayas conectado al menos en una ocasión ya que Windows 10 guarda un registro con las contraseñas a las que se conecta automáticamente. Te mostramos cómo recuperar las contraseñas WiFi guardadas en Windows 10.

La parte más sencilla es recuperar la contraseña de la red WiFi a la que actualmente está conectado Windows. Sin embargo, también podrá recordar otras que se hayan configurado para que se conecten automáticamente.


Accede a la contraseña de la red WiFi actual

La forma más sencilla de recuperar una contraseña en Windows 10 es dejar que el equipo se conecte automáticamente a la red WiFi de la que quieres recuperar la contraseña.

A continuación, haz clic con el botón derecho del ratón sobre el icono de las conexiones WiFi en la bandeja del sistema, junto al reloj de Windows, y elige la opción Abrir configuración de red e Internet



Esto te llevará al apartado Estado del panel Configuración. Un poco más abajo encontrarás la opción Cambiar opciones del adaptador.

Esto te llevará a la ventana del Panel de control en el que se muestran los distintos adaptadores que provee tu tarjeta de red. Haz clic con el botón derecho del ratón sobre el adaptador WiFi que está activo y elige la opción Estado.


A continuación, se abrirá una nueva ventana en la que se muestra el estado de la conexión inalámbrica actual. Haz clic sobre el botón Propiedades inalámbricas y aparecerá un nuevo cuadro con dos pestañas.


Accede a la pestaña Seguridad y marca la casilla Mostrar caracteres, lo cual hará visibles los caracteres de la contraseña de la red WiFi a la que Windows está conectado en ese momento.


Recupera las contraseñas WiFi guardadas en Windows 10


Además de poder mostrarte la contraseña de la red que actualmente tienes en uso, Windows 10 también permite acceder al registro de otras redes WiFi que han sido marcadas para conexión automática cuando el equipo se encuentre dentro de su área de cobertura.

Para ello debes acceder mediante comandos a ese registro de redes WiFi de Windows. Por lo que será necesario abrir una ventana de Símbolo del sistema como administrador.


Usa la combinación de tecla Windows + X y elige la opción Símbolo del sistema (Administrador). Al ejecutarse la ventana del terminal de Windows, escribe el comando netsh wlan show profile y pulsa intro. Con esto se muestran las redes WiFi que el equipo ha establecido como de conexión automática, por lo que recuerda su contraseña y datos de conexión.


A continuación, asegúrate de que la red de la cual quieres recuperar la contraseña WiFi se encuentre listada en el que quieres en el apartado Perfiles de usuario.



Después, usa el comando netsh wlan show profile name=Nombre_De_WiFi key=clear, sustituyendo la parte de Nombre_De_WiFi por el nombre de una de las redes que aparecen listadas en Perfiles de usuario.


Este comando entrega todos los detalles de la red indicada. En el apartado Configuración de seguridad, en Contenido de la clave, aparecerá la contraseña de acceso a esa red WiFi.







Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En los últimos años, varios grupos de investigadores de ciberseguridad han revelado docenas de vulnerabilidades de canal lateral de memoria en procesadores modernos y DRAM , como Rowhammer , RAMBleed , Spectre y Meltdown .


¿Alguna vez has notado que todos tenían al menos una cosa en común?


Eso es OpenSSH.


Como una prueba de concepto, muchos investigadores demostraron sus ataques de canal lateral contra la aplicación OpenSSH instalada en una computadora específica, donde un proceso sin privilegios propiedad de un atacante explota las vulnerabilidades de lectura de la memoria para robar claves privadas SSH secretas de las regiones de memoria restringida del sistema. .

Eso es posible porque OpenSSH tiene un agente que mantiene una copia de su clave SSH en la memoria para que no tenga que escribir su frase de contraseña cada vez que quiera conectarse al mismo servidor remoto.

Sin embargo, los sistemas operativos modernos almacenan de forma predeterminada los datos confidenciales, incluidas las claves de cifrado y las contraseñas, en la memoria del núcleo, a la que no se puede acceder mediante procesos privilegiados de nivel de usuario.
Pero como estas claves SSH viven en la memoria RAM o CPU en formato de texto simple, la función es susceptible de intentos de piratería cuando los ataques involucran vulnerabilidades de lectura de memoria.

OpenSSH ahora solo almacena claves cifradas en la memoria

Aquí hay una buena noticia: ya no es el caso.

La última actualización de los desarrolladores de OpenSSH resuelve este problema mediante la introducción de una nueva función de seguridad que encripta las claves privadas antes de almacenarlas en la memoria del sistema, protegiéndola de casi todos los tipos de ataques de canal lateral.

Según el desarrollador de OpenSSH, Damien Miller, un  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login  ahora "encripta las claves privadas cuando no están en uso con una clave simétrica que se deriva de una" prekey "relativamente grande que consiste en datos aleatorios (actualmente 16KB)".

"Los atacantes deben recuperar toda la prekey con gran precisión antes de que puedan intentar descifrar la clave privada protegida, pero la generación actual de ataques tiene tasas de error de bits que, cuando se aplican de forma acumulativa a toda la prekey, hacen esto poco probable", explica Miller.

"En cuanto a la implementación, las claves se cifran 'protegidas' cuando se cargan y luego se desprenden de forma transparente y automática cuando se usan para firmas o cuando se guardan / serializan".

Cabe señalar que este parche solo mitiga la amenaza y no es una solución permanente. Miller dice que OpenSSH eliminará esta protección contra ataques de canal lateral en unos pocos años cuando la arquitectura de la computadora se vuelva menos insegura.





Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

PoC lanzado para el defecto de Outlook que Microsoft parchó 6 meses después del descubrimiento


Microsoft lanzó esta semana una versión actualizada de su aplicación de Outlook para Android que corrige una grave vulnerabilidad de ejecución remota de código ( CVE-2019-1105 ) que afectó a más de 100 millones de usuarios.

Sin embargo, en ese momento, muy pocos detalles de la falla estaban disponibles en el aviso, que reveló que las versiones anteriores de la aplicación de correo electrónico contenían una falla de scripts entre sitios (XSS) que podía permitir a los atacantes ejecutar scripts en el contexto de el usuario actual simplemente enviando un correo electrónico especialmente diseñado a las víctimas.

Ahora, Bryan Applebyde F5 Networks, uno de los investigadores de seguridad que informaron este problema de forma independiente a Microsoft, publicó más detalles y prueba de concepto de la vulnerabilidad de Outlook que informó al gigante de la tecnología hace casi seis meses.

En una publicación de blog publicada el viernes, Appleby reveló que mientras intercambiaba un código JavaScript con sus amigos a través de un correo electrónico, descubrió accidentalmente un problema de scripts entre sitios (XSS) que podía permitir que un atacante incrustara un iframe en el correo electrónico.

En otras palabras, la vulnerabilidad reside en la forma en que el servidor de correo electrónico analiza las entidades HTML en los mensajes de correo electrónico.

Aunque el JavaScript que se ejecuta dentro de un iframe solo puede acceder al contenido dentro de él, Appleby descubrió que la ejecución del código JavaScript dentro del iframe inyectado puede permitir que el atacante lea contenido relacionado con la aplicación en el contexto del usuario de Outlook registrado, incluidas sus cookies, tokens y Incluso algunos contenidos de su bandeja de entrada de correo electrónico.
La vulnerabilidad, dijo Appleby, le permitió "robar datos de la aplicación, podría usarla para leer y extraer el HTML".

"Este tipo de vulnerabilidad podría ser explotada por un atacante que envía un correo electrónico con JavaScript. El servidor escapa de ese JavaScript y no lo ve porque está dentro de un iframe. Cuando se entrega, el cliente de correo deshace automáticamente el escape, y el JavaScript se ejecuta. en el dispositivo cliente. Bingo: ejecución remota de código ", explica Appleby.

"Este código puede hacer lo que desee el atacante, hasta e incluyendo el robo de información y / o el envío de datos. Un atacante puede enviarle un correo electrónico y, con solo leerlo, podría robar el contenido de su bandeja de entrada. Puede convertirse en una pieza de malware muy desagradable ".

Appleby informó responsablemente sus hallazgos a Microsoft el 10 de diciembre de 2018, y la compañía confirmó la vulnerabilidad el 26 de marzo de 2019 cuando compartió un PoC universal con el gigante de la tecnología.



Microsoft corrigió la vulnerabilidad y liberó una solución hace sólo 2 días - eso es casi 6 meses después de la divulgación inicial de vulnerabilidad. La compañía dice que actualmente no tiene conocimiento de ningún ataque en la naturaleza relacionado con este problema.

Además de Appleby, los investigadores de seguridad Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek de CyberArk y Gaurav Kumar también informaron el mismo problema a Microsoft por separado en los últimos meses.

Gaurav Kumar también compartió un video con The Hacker News que demuestra la vulnerabilidad en acción, como se muestra arriba.
Una vez más, si su dispositivo Android aún no se actualiza automáticamente, se le recomienda actualizar su aplicación Outlook desde Google Play Store manualmente.






Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de seguridad cibernética de al menos dos empresas revelaron hoy los detalles de una nueva variedad de malware que se dirige a los sistemas Windows y macOS con un malware de minería de criptomonedas basado en Linux.
Puede sonar extraño, pero es cierto.

Apodado " LoudMiner " y también " Bird Miner " , el ataque aprovecha el software de virtualización basado en la línea de comandos en sistemas específicos para iniciar silenciosamente una imagen del sistema operativo Tiny Core Linux que ya contiene un software de minería de criptomonedas activado por un pirata informático.

¿No es interesante usar la emulación para ejecutar malware de una sola plataforma en varias plataformas?

Descubiertos por investigadores de ESET y Malwarebytes , los atacantes están distribuyendo este malware junto con copias pirateadas y pirateadas del software VST (Virtual Studio Technology) en Internet y a través de la red Torrent desde agosto de 2018. Las
aplicaciones VST contienen sonidos, efectos, sintetizadores y otros dispositivos avanzados. Funciones de edición que permiten a los profesionales de audio centrados en la tecnología crear música.
"Con respecto a la naturaleza de las aplicaciones dirigidas, es interesante observar que su propósito está relacionado con la producción de audio; por lo tanto, las máquinas en las que están instaladas deben tener una buena capacidad de procesamiento y un alto consumo de CPU no sorprenderá a los usuarios", ESET dijeron los investigadores.

Los investigadores han encontrado varias versiones maliciosas de casi 137 aplicaciones relacionadas con VST, 42 de las cuales son para Windows y 95 para la plataforma macOS, incluidas Propellerhead Reason, Ableton Live, Sylenth1, Nexus, Reaktor 6 y AutoTune. Para los sistemas macOS, el software ejecuta múltiples scripts de shell y utiliza la utilidad de código abierto Emulador Rápido (QEMU) para iniciar el sistema operativo virtual de Linux, y para Windows, se basa en VirtualBox para la emulación. Una vez instalado y activado, el malware también gana persistencia en el sistema al instalar archivos adicionales y luego inicia las máquinas virtuales en segundo plano.




Estas imágenes del sistema operativo Linux ya han sido preconfiguradas por los atacantes para iniciar el software de minería de criptomonedas automáticamente en el inicio sin necesidad de que un usuario inicie sesión y se conecte a los servidores de comando y control del pirata informático.

"El archivo OVF incluido en la imagen de Linux describe la configuración de hardware de la máquina virtual: utiliza 1 GB de RAM y 2 núcleos de CPU (con un uso máximo del 90%)", dijeron los investigadores de ESET.

"La imagen de Linux es Tiny Core Linux 9.0 configurado para ejecutar XMRig, así como algunos archivos y scripts para mantener el minero actualizado continuamente".
El malware "puede ejecutar dos imágenes a la vez, cada una de las cuales toma 128 MB de RAM y un núcleo de CPU" para explotar simultáneamente.

"Además, el hecho de que el malware ejecute dos mineros separados, cada uno de ellos ejecutando su propio archivo de imagen Qemu de 130 MB, significa que el malware consume muchos más recursos de los necesarios", dijo Malwarebytes.

El ataque es otra buena razón por la que nunca debe confiar en software no oficial y pirateado disponible en Internet.



Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Trulifi: las nuevas bombillas LiFi de Phillips que son capaces de transmitir datos a 250 Mbps usando únicamente luz

Llevamos varios años escuchando del LiFi como una solución más rápida y segura al WiFi, de hecho en algunos CES hemos visto algunos proyectos que a día de hoy siguen en eso, en proyecto. Hoy Signify, el nuevo nombre de la empresa Philips Lighting, responsable de las famosas Phillips Hue, está presentando Trulifi, su nueva línea de bombillas y transceptores que permiten conexiones de datos usando únicamente luz.

Phillips no ajena a esta tecnología, ya que desde hace un par de años han estado experimentado con LiFi, sin embargo, sólo habían logrado conexiones de entre 5 y 30 Mbps. Ahora con Trulifi, la compañía afirma que podremos tener un canal de datos bidireccional de hasta 150 Mbps o bien, enlaces punto a punto de hasta 250 Mbps.

Incluso será compatible con sistemas de luminarias Phillips

Trulifi consistirá en dos soluciones: nuevas bombillas LiFi y transceptores inalámbricos ópticos. Estos últimos se podrán adaptar a las actuales luminarias Phillips para así no tener que reemplazar toda el sistema de iluminación.

Una de sus mayores ventajas, es que Trulifi transmitirá datos utilizando únicamente ondas de luz en lugar de señales de radio, como las utilizadas por las conexiones 4G o WiFi. Para que los ordenadores o smartphones se puedan conectar a estas redes LiFi, necesitarán un dispositivo externo, el cual servirá como emisor y receptor para esta tecnología.



Esta solución ofrece sus ventajas, como la nula interferencia de radiofrecuencia con otros dispositivos, como dispositivos médicos, señales en aeropuertos o maquinaria sensible. De igual forma, su formato y forma de trabajar le permite ser ideal para sitios públicos donde la señal suele saturarse, e incluso en lugares bajo tierra donde no suele haber datos móviles.

Pero una de sus mayores desventajas es que se basa en luz, lo que significa que se puede bloquear fácilmente y perder la conexión, aunque esto también permitiría tener un mayor control de a quien o quienes se les ofrece esta conexión, por lo tanto, también sería más segura. De hecho, para conectarse a una red LiFi también necesitaríamos una contraseña, tal y como sucede actualmente con WiFi.



La mala noticia es que por el momento Trulifi sólo está dirigido a empresas y mercados profesionales, esto con el fin de que sea instalado en grandes corporativos, edificios de oficinas y hospitales, donde se tiene el potencial de llegar a un público mucho más amplio. Es decir, aún no está listo para el usuario final.

Signify no ha dado a conocer los precios de sus dispositivos, aunque aseguran que ya tienen un par de clientes importantes y hacia finales de año veremos una mayor presencia de esta tecnología.










Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Openload ha sido suspendida: adiós a uno de los grandes de las películas y series online


Hace apenas una semana te contábamos que Zippyshare, una de las páginas más relevantes a la hora de alojar enlaces, bloqueó su página web en España, haciéndola inaccesible para los usuarios. Hoy se suma a la lista de páginas innacesibles otra de las páginas más conocidas a la hora de alojar enlaces, Openload.

En este caso, la página web ha visto suspendido su dominio (Openload.co), al cual ya no podemos entrar desde ninguna parte del mundo. Desde la página no se han hecho declaraciones ni se han explicado los motivos sobre la suspensión, efectiva desde hace unas horas.



Un dominio en suspensión que plantea dudas sobre si Openload guarda (otro) as en la manga


Openload, como leemos en Torrentfreak, ha llegado a generar más tráfico que servicios como HBO, siendo uno de los gigantes a la hora de alojar enlaces de vídeos en internet. La página web ha visto suspendido su dominio, que actualmente muestra los estados serverHold, clientTransferProhibited y clientUpdateProhibited, según los datos WHOIS del dominio. En concreto, estos estados hacen referencia a que el dominio no puede ser eliminado ni actualizado, pero que está caducado e inactivo. En concreto, el estado serverHold es bastante inusual, y lo establece el propio registrador del dominio, Tucows Domains en este caso.

No es la primera vez que Openload ve suspendido su dominio. En 2016 pasó por una situación similar a la que logró sobrevivir

Por el momento, Openload no ha hecho declaraciones ni ha arrojado luz acerca de la suspensión del dominio, aunque no es la primera vez que la página sufre una situación similar. En el año 2016, como cuentan desde el medio, Openload vio suspendido su dominio por Namecheap, aunque lograron recuperarlo y volver a operar con normalidad.

Junto al cese del servicio de Zippyshare y el cierre de Repelis, Pepecine y demás sitios web, parece ser que el alojamiento de contenido en la web no pasa por su mejor momento, a la espera de que se arroje algo de luz sobre los casos de los que aún desconocemos los motivos de cierre (Zippyshare y Openload).





Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El WiFi cumple 20 años: de arma para luchar con los nazis a ser usado por 13.000 millones de dispositivos



A día de hoy, podemos decir sin miedo a equivocarnos que el WiFi es un actor primario a la hora de lograr que podamos comunicarnos y conectarnos en el mundo. Según la WiFi Alliance, más de 13 mil millones de dispositivos lo utilizan y precisamente hoy, día 20 de junio, acaba de cumplir 20 años de vida.

Así pues, hacemos un breve repaso de su historia, para saber cómo se creó esta tecnología que cambió el mundo, los distintos protocolos con los que cuenta en la actualidad, y cómo se dibuja el futuro del WiFi, ya que hay algunas propuestas sobre la mesa.

Cómo llegó el WiFi a nuestras vidas


Debemos agradecer a Rudolf Hertz el descubrimiento de la propagación de las ondas electromagnéticas, así como la forma de producirlas y detectarlas. Tal fue su descubrimiento que, a día de hoy, contamos con los hercios, nombre puesto en su honor. Sus descubrimientos llegaron en 1888, pero no fue hasta 11 años después cuando Guillermo Marconi, ingeniero electrónico, logró establecer comunicaciones inalámbricas a través del canal de la Mancha.

Fue una mujer la considerada como inventora del WiFi. Fue actriz de renombre, y creadora de la primera versión de los saltos de frecuencia


Curiosamente, la invención del WiFi no se atribuye a ninguno de estos dos hombres, sino que vino a manos de Hedy Lamarr, una famosa actriz de cine que compaginaba su trabajo con el de inventora. Lamarr vivió entre 1914 y el año 2000, por lo que vivió, prácticamente en su piel, el holocausto nazi. Hija de un matrimonio judío, Lamarr quiso desarrollar tecnología militar para ayudar al gobierno de los Estados Unidos.

Así, en 1942, patentó un "sistema de comunicación secreta", que vino a ser lo que a día de hoy conocemos como los saltos de frecuencia. Años después, en 1997, se creó el primer estándar WiFi, IEEE 802.11, a manos del Institute of Electrical and Electronics Engineers (del que recibe su nombre). Este, permitía transferir datos a 1 Mbps.

Estas tecnologías fueron la base sólida que se necesitó para estandarizar el WiFi, que a pesar de estar en estado incipiente años atrás, no recibió su nombre como tal hasta el año 1999. La WiFi Alliance, que vio la necesidad de crear un estándar de conexión compatible con múltiples dispositivos. Tan solo un año después, se certificó la interoperabilidad de equipos bajo el protocolo IEEE 802.11b, que transfería a velocidades de 11Mbps, y a partir del cual fueron surgiendo el resto de los estándares que conocemos a día de hoy.


Acerca de los estándares



El WiFi B b definía que la red debería operar en la banda 2,4Ghz, una de las que, a día de hoy, seguimos utilizando. En un primer momento, las denominaciones del WiFi se correspondían a distintas versiones del protocolo IEEE 802.11. En 2003, llegó el WiFi 802.11g, que seguía operando en la banda 2,4GHz, aunque añadía multiplexación por división de frecuencias ortogonales (OFDM), o una nueva modulación de amplitud en cuadratura. Del mismo modo, la velocidad subió hasta los 54GBps.

En 2009 llegó el WiFi 802.11n, que traía consigo la posibilidad de emplear múltiples antenas MIMO para ofrecer la misma velocidad a múltiples dispositivos. Este estándar permitía conexión en banda 2,4GHz y 5Ghz, con una velocidad de transmisión de hasta 600Mbps, un salto importante respecto al WiFi g.


Llega 2013, y de su mano, WiFi 802.11ac. Este era el primer estándar para dispositivos inalámbricos con conectividad dual, y trajo consigo mayor ancho de banda y una velocidad de transmisión de hasta 7Gbps. WiFi ac es el estándar actual, utilizado en la mayoría de PCs y smartphones.

Para simplificar los nombres, y aclarar posibles líos entre WiFi a, b, g y demás, la WiFi Alliance decidió cambiar los estándares por nombres más básicos.

-WiFi 6: 802.11ax

-WiFi 5: 802.11ac

-WiFi 4: 802.11n

-WiFi 3: 802.11g

-WiFi 2: 802.11a

-WiFi 1: 802.11b



Cómo se dibuja el futuro del WiFi



El futuro del WiFi se dibuja bajo el estándar WiFi 6 (802.11ax). Este no supondrá una gran mejora respecto a la velocidad de transmisión de datos actual, aunque pasaríamos de los 6/7 Gbps actuales, hasta los 9 Gbps. Ganamos sobre todo en ofrecer mejor alcance y cobertura a los dispositivos, así como una mayor seguridad y eficiencia general. Así, WiFi 6 llegará para mejorar nuestra experiencia global en el uso del WiFi, más que en alcanzar velocidades inusuales.

WiFi 6 se plantea como el próximo estándar para esta conectividad, con el objetivo de seguir mejorando la conexión entre múltiples dispositivos


Cabe destacar asimismo la importancia tiene y que ha tenido el WiFi para la explosión del internet doméstico y móvil, siendo una tecnología presente en prácticamente todos los hogares, así como en todos los smartphones que encontramos en el mercado. Quedará por ver cuándo empieza WiFi 6 a ser un estándar. Este protocolo es compatible con los anteriores, por lo que, en principio, bastará con comprar uno de los nuevos routers WiFi 6 para conectar nuestros dispositivos y disfrutar de esta tecnología.




Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una falla importante en la aplicación de Outlook para Android afecta a más de 100 millones de usuarios.


Microsoft lanzó hoy una versión actualizada de su "Outlook para Android" que corrige una importante vulnerabilidad de seguridad en la popular aplicación de correo electrónico que se usa actualmente en más de 100 millones de usuarios.

De acuerdo con un aviso , la aplicación de Outlook con versiones anteriores a 3.0.88 para Android contiene una vulnerabilidad almacenada de secuencias de comandos entre sitios ( CVE-2019-1105 ) en la forma en que la aplicación analiza los mensajes de correo electrónico entrantes.

Si son explotados, los atacantes remotos pueden ejecutar código malicioso del lado del cliente en la aplicación en los dispositivos seleccionados simplemente enviándoles correos electrónicos con un mensaje especialmente diseñado.

"El atacante que explotó con éxito esta vulnerabilidad podría realizar ataques de scripts entre sitios en los sistemas afectados y ejecutar scripts en el contexto de seguridad del usuario actual".

Según Microsoft, la falla fue informada de manera responsable por varios investigadores de seguridad de forma independiente y podría conducir a ataques de suplantación de identidad.

Los detalles técnicos o cualquier prueba de concepto de esta falla aún no están disponibles en público y Microsoft actualmente no tiene conocimiento de ningún ataque en la naturaleza relacionado con este problema.

Si su dispositivo Android no se ha actualizado automáticamente todavía, se le recomienda actualizar manualmente su aplicación de Outlook desde Google Play Store.






Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MongoDB 4.2 presenta el cifrado de nivel de campo de extremo a extremo para bases de datos


En su conferencia de desarrolladores celebrada a principios de esta semana en Nueva York, el equipo de MongoDB anunció la última versión de su software de administración de bases de datos que incluye una variedad de funciones avanzadas, como el cifrado de nivel de campo, transacciones distribuidas e índices de comodines.

La recientemente presentada Field Level Encryption (FLE), que estará disponible en la próxima versión de MongoDB 4.2 , es una función de encriptación de extremo a extremo que encripta y descifra los datos confidenciales de los usuarios en el lado del cliente, lo que evita que los piratas informáticos accedan a datos de texto simple. incluso si la instancia de la base de datos queda expuesta en línea o el servidor se ve comprometido.

Hoy en día, casi todos los sitios web, aplicaciones y servicios en Internet generalmente cifran solo las contraseñas de los usuarios antes de almacenarlas en las bases de datos, pero desafortunadamente, no se codifica otra información confidencial, incluidos los datos de actividad en línea de los usuarios y su información personal.

Además, incluso si existe un mecanismo de cifrado para almacenar datos de forma segura en el servidor, las claves privadas para desbloquearlo y la operación de descifrado también permanecen disponibles en el servidor, que, si se ven comprometidas, pueden ser utilizadas por piratas informáticos para descifrar los datos




"Con el rigor requerido por el cumplimiento de los requisitos legales modernos, surge la nueva necesidad de ingerir, consultar y almacenar datos encriptados de forma segura en la base de datos sin que la base de datos tenga la capacidad de leerlos", dice la compañía.

En otras palabras, los proveedores en la nube o los administradores que tienen acceso al servidor de la base de datos también pueden acceder a los datos de los usuarios, sin cifrar o incluso en el lado del servidor, sin requerir ningún privilegio de los clientes.

Cifrado de nivel de campo del lado del cliente de MongoDB


Sin embargo, el nuevo cifrado a nivel de campo de MongoDB permite a los sitios web resolver este problema rápidamente, ya que no implica realizar operaciones criptográficas o almacenar claves de cifrado en el servidor.

En cambio, FLE es un mecanismo transparente del lado del cliente que se basa en la biblioteca cliente de MongoDB para actuar como controlador y maneja las operaciones de cifrado y descifrado en los dispositivos de los usuarios para proteger campos específicos en un documento contra todos, excepto el usuario.



Eso significa que una porción específica de datos cifrados almacenados en el servidor de una aplicación solo se puede descifrar y acceder al lado del cliente con la clave / contraseña correcta que solo pertenece al usuario.

"Con esta opción, el servidor no tiene conocimiento de que los campos estén encriptados. Todo el cifrado y descifrado se realiza a nivel del conductor", dijo la compañía .

"Es el controlador que cuando ve que un campo encriptado está involucrado en un comando de escritura o consulta, obtiene las claves adecuadas del administrador de claves, encripta los datos y los envía al servidor".


"El servidor solo ve el texto cifrado y no tiene conocimiento de las claves. Cuando los resultados se devuelven desde el servidor, el servidor envía ese texto cifrado al controlador, y allí el controlador, que ya tiene las claves, lo descifra. "

Por ahora, MongoDB solo es compatible con el servicio de administración de claves (KMS) de AWS para facilitar a los usuarios la creación y administración de sus claves para controlar el uso del cifrado en un servicio.

Sin embargo, la compañía pronto lo hará compatible con los servicios de Microsoft Azure Key Vault y Google Cloud también.

También se debe tener en cuenta que el cifrado a nivel de campo de MongoDB no evita una violación de datos, sino que impide que los piratas informáticos accedan a los datos confidenciales en texto sin formato cuando se los roban, lo que mitiga el riesgo.

En el peor de los casos, los atacantes pueden acceder a datos limitados de solo aquellos usuarios objetivo cuyos sistemas de alguna manera se ven comprometidos y filtrar la clave de cifrado a los atacantes.






Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los creadores de esta inteligencia artificial afirman que puede hacerse una idea de cómo es tu cara tan sólo con escuchar tu voz.

Investigadores del MIT han creado una inteligencia artificial capaz de imaginar el rostro de un individuo a partir de una grabación de su voz. Este algoritmo de aprendizaje automático, llamado Speech2Face (algo así como 'De habla a cara'), fue entrenado usando millones de clips de audio de más de 100.000 hablantes distintos, muchos de ellos procedentes de vídeos educativos de Youtube.

Según explican los investigadores, esta IA utiliza este dataset para determinar el vínculo existente entre las señales vocales y determinados rasgos faciales. Y es que ambos vienen determinados por factores como la edad, el sexo, la estructura ósea de la nariz, la forma de la boca o el tamaño de los labios.


El funcionamiento del algoritmo gira en torno al uso de dos componentes: un codificador (que extrae y guarda el espectograma de las ondas de audio, reconociendo una serie de características clave del mismo) y un decodificador (que en base a las mencionadas características genera una imagen del rostro, representado de frente y con gesto neutro).


Speech2Face no hace milagros


Por supuesto, cuanto más tiempo permanece a la escucha de una voz humana, más sencillo será para la IA adivinar el rostro de alguien. Pero Speech2Face no puede hacer milagros: aunque, al basarse en fotos, sus representaciones son fotorrealistas, también son demasiado genéricas como para soñar con identificar a una persona específica.

Pero sí permite establecer con suficiente precisión un perfil con el etnia, sexo y edad del sujeto. Ya existía tecnología capaz de estimar estos dos últimos factores, pero el componente étnico es una novedad de Speech2Face.

Sin embargo, el algoritmo todavía presenta algunos sesgos que evidencian que el dataset en el que se ha basado su entrenamiento es algo incompleto. Por ejemplo: Speech2Face genera imágenes de hombres blancos cuando oye asiáticos hablando inglés, pese a que cuando éstos pasan a hablar chino, sí identifica su etnicidad correctamente.

"Si cierto idioma no aparece en los datos de entrenamiento, nuestras reconstrucciones no capturarán bien los atributos faciales que podrían estar correlacionados con ese lenguaje".


También hay cierta polémica en torno al hecho de que el algoritmo identifique como femeninas las voces de niños u hombres con un tono especialmente agudo; una polémica que los investigadores han trato de cortar recordando que resulta imposible que Speech2Face sea capaz de "representar por igual a toda la población mundial".

Se especula con que un posible uso comercial de este algoritmo sería la posibilidad de generar una imagen representativa de nuestro interlocutor cuando estemos manteniendo una llamada telefónica.





Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google lanza su nuevo servicio de mensajería para competir con WhatsApp y Telegram.

Se trata del protocolo RCS, que ofrece las mismas funciones básicas que esas plataformas, pero no requiere de la instalación de apps de terceros. Llegará a fin de mes a los usuarios de teléfonos con Android que residan en Francia y el Reino Unido.

Desde hace tiempo se vienen hablando del estándar RCS (Rich Communication Service), sucesor del SMS y una apuesta para optimizar el servicio de mensajería. Esta tecnología ofrece las funciones de WhatsApp o Telegram pero sin recurrir a la instalación de apps de terceros.

La novedad es que Google se encargará del despliegue de los mensajes RCS en los teléfonos con Android, que son el 75% de los que están en el mercado, en todo el mundo. Y lo hará, al margen de las operadoras de telefonía para poder acelerar la llegada de esta tecnología a los móviles.

Los primeros que tendrán acceso, hacia fines de junio, al chat RCS serán los usuarios de Android que residen en el Reino Unido y Francia. No se sabe aún cuándo llegará al resto de los países.

Cuando los usuarios abran la aplicación de mensajes de Android, verán una opción para actualizarse y pasar a usar el chat RCS. Los usuarios tendrán que elegir esta alternativa para poder utilizarla, no será el servicio por default y dependerá de la elección de los usuarios.



Las características de este servicio


Se podrán enviar mensajes, audios de voz y contenido multimedia como ocurre con Telegram o WhatsApp. Habrá chats grupales, se podrá compartir ubicación y el usuario sabrá cuando el destinatario abrió el mensaje.

¿En qué se diferencia el iMessage de Apple? A diferencia de éste, en el sistema RCS no hay una base de datos con los usuarios que cuentan con esta aplicación. Así es que cuando un usuario envía un mensaje, el sistema consultará, en ese momento, si el destinatario tiene soporte para RCS y si no es así, el mensaje llegará como SMS.

Y la otra gran diferencia es que no ofrece cifrado de extremo a extremo como sí tiene la plataforma de Apple, Telegram o WhatsApp. De todos modos, Google dijo que ya está trabajando en esto para mejorar la privacidad de los usuarios.

"Fundamentalmente, creemos que la comunicación, en especial la de mensajería, es extremadamente personal y los usuarios tienen derecho a la privacidad en sus comunicaciones. Y estamos totalmente comprometidos a encontrar una solución para nuestros usuarios", dijo la directora de gestión de producto a cargo de este servicio, Sanaz Ahari, en declaraciones a The Verge.






Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los navegadores modernos prestan cada vez más atención a la seguridad. Google Chrome, el más popular y utilizado, no es una excepción. Con cada actualización nueva suele incluir mejoras que ayudan a preservar la privacidad y seguridad de los usuarios. Buscan la manera de evitar posibles ataques que lleguen a la hora de visitar una web y que puedan comprometer el buen funcionamiento de nuestro sistema. En este artículo nos hacemos eco de una nueva extensión disponible en Google Chrome y que sirve para protegernos y evitar que nos cuelen una URL falsa. Se trata de Site Reporter.


Nueva extensión en Chrome para evitar URL falsas


Ahora Google Chrome ha lanzado la extensión Site Reporter. Con ella pretende proteger la seguridad de los usuarios a la hora de navegar por la red. Permite detectar posibles páginas que intentan engañar al usuario.

Como sabemos, cuando navegamos por la red podemos toparnos con muchos sitios que utilizan técnicas para engañar. Un ejemplo son aquellos que pueden ser un intento de ataque Phishing. También puede ocurrir que contengan malware o archivos que representen una seria amenaza. Detectarlo es muy importante para prevenir hipotéticos problemas que afecten a nuestros dispositivos y comprometan el buen funcionamiento.

Lo que busca Chrome ahora es que los propios usuarios puedan ayudar a hacer una navegación más segura. Esa es la función de Site Reporter. Es una extensión desde la que podemos enviar información sobre sitios sospechosos a los que hemos accedido. Por un lado ayudamos a que los investigadores determinen si realmente esa página sospechosa es insegura y, además, podemos detectar sitios que son inseguros cuando entramos en ellos.

Hay que tener en cuenta que esta nueva herramienta, aunque ha sido lanzada por Google Chrome para sus usuarios, también ayudará indirectamente a proteger a quienes utilicen otros navegadores. En caso de que una web sea reportada como insegura permitirá que todos los internautas se vean beneficiados.


Cómo utilizar Site Reporter


El modo de uso de Site Reporter es muy sencillo. Lo primero que tenemos que hacer es ir a la tienda oficial de Google Chrome y agregar la extensión. Como siempre decimos, es muy importante instalar este tipo de software siempre desde tiendas y páginas oficiales. De esta forma nos aseguramos de que estamos agregando software legítimo y que no ha sido modificado de forma maliciosa.



Una vez la hayamos agregado al navegador, automáticamente aparecerá un icono en la parte de arriba. A través de él podremos obtener información sobre ese sitio y enviar reportes. Si accedemos a una página que sea insegura nos mostrará una alerta indicando que ese sitio no es fiable y puede ser una amenaza.


En definitiva, utilizar Site Reporter es muy intuitivo y sencillo. Es una herramienta que puede ayudar a mejorar la seguridad cuando navegamos por la red. Ya sabemos que las extensiones pueden ser complementos muy interesantes para agregar funciones que de forma nativa el navegador no trae, pero también para aportar un extra en seguridad y privacidad, como es este caso.




Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Firefox lanza una actualización de parches críticos para detener los ataques de día cero en curso

Si usa el navegador web Firefox, debe actualizarlo ahora mismo.

Mozilla lanzó hoy versiones anteriores de Firefox 67.0.3 y Firefox ESR 60.7.1 para corregir una vulnerabilidad crítica de día cero en el software de navegación que los hackers han encontrado explotando en la naturaleza.

Descubierta e informada por Samuel Groß, un investigador de ciberseguridad en Google Project Zero, la vulnerabilidad podría permitir a los atacantes ejecutar de forma remota código arbitrario en máquinas que ejecutan versiones vulnerables de Firefox y tomar el control total de ellos.

La vulnerabilidad, identificada como CVE-2019-11707 , afecta a cualquier persona que use Firefox en el escritorio (Windows, macOS y Linux), mientras que Firefox para Android, iOS y Amazon Fire TV no se ven afectados.
Según un aviso , la falla se ha etiquetado como una vulnerabilidad de tipo confusión en Firefox que puede provocar una falla explotable debido a problemas en Array.pop que pueden ocurrir al manipular objetos de JavaScript.

En el momento de redactar este documento, ni el investigador ni Mozilla han publicado ningún detalle técnico adicional o prueba de concepto para esta falla.

A través de Firefox instala automáticamente las últimas actualizaciones y activa la nueva versión después de un reinicio, aún se recomienda a los usuarios asegurarse de que están ejecutando las últimas versiones de Firefox 67.0.3 y Firefox (versión de soporte ampliado) 60.7.1 o posterior.






Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Crean un Super Mario Bros en formato Battle Royale, gratis, con partidas de 75 jugadores y accesible desde el navegador.



75 jugadores, y solo tres pueden salir vivos


Para crear este juego, el creador se ha basado en el juego original de NES, por lo que el mapa donde jugaremos será prácticamente idéntico a varias partes de las que encontrábamos jugando a Super Mario Bros. El funcionamiento es sencillo: 75 jugadores que lucharán por llegar a la meta (el castillo de Bowser) en primer lugar, y que tendrán que matar a los demás por el camino. Hay varias formas de morir, bien porque alguien nos haya eliminado, o bien porque el mapa nos lo pone complicado.


- Caer al vacío o al magma

- Que nos maten las plantas carnívoras

- A manos de un Koopa

- Que alguien nos lance una concha de Koopa

- Que alguien use el poder de la estrella y nos mate


Al igual que en el juego original, los elementos del propio juego podrán matarnos, pero los jugadores podrán valerse de tirarnos conchas o usar el poder de la estrella, que se obtiene golpeando los bloques que iremos viendo en el mapa, para matarnos. Así, el principal objetivo es matar y que no nos maten, la filosofía de todo Battle Royale.

¿Cómo se ganaba en el Mario original? Matando a Bowser. Mario Royale ha querido transmitir la misma idea, aunque el método sea algo distinto


Para ganar, será necesario que los tres últimos jugadores en pie lleguen al castillo de Bowser y suban a los peldaños del podio. La progresión de los mapas es lineal, por lo que iremos avanzando poco a poco hasta llegar a dicho castillo (cada vez habrá menos jugadores y los obstáculos del mapa nos lo pondrán cada vez más difícil). El propio creador destaca que es un juego fácil de jugar, ya que no tenemos más que movernos y saltar. No obstante, ganar no es sencillo, ya que es bastante fácil morir.

Algunas curiosidades sobre el juego



Mario Royale es la primera propuesta de su creador, que afirma haberlo creado tras tres semanas de trabajo con HTML5. Como adelantamos, puede jugarse desde el navegador, y su gran ventaja es que, de momento, ni tiene anuncios, ni tenemos que crear una cuenta para jugar, ni hemos de aguantar tediosos minutos de espera.

Para jugar no tenemos más que acceder a la You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, donde veremos el nombre del juego y los usuarios que hay conectados. Tras pulsar en Play now! no tendremos más que introducir el nombre que queramos, y pasar a la sala de espera. Las partidas empiezan cuando llegan 75 jugadores a la sala. En nuestra experiencia, al haber casi 1.000 personas conectadas de forma constante, no hemos tardado ni 10 segundos en empezar las partidas.


A pesar de ser una propuesta sencilla y cuyos controles se basan en moverse y saltar, el desarrollador ha querido hacer a Mario Royale compatible con los mandos de Xbox One y PS4

Su desarrollador destaca así mismo que, a pesar de ser un juego tan sencillo, podemos jugarlo con controladores, como el mando de Xbox One o el de PS4. Nos comenta que resulta irónico cómo varias de las propuestas de Steam que tiene descargadas en su ordenador no le permiten jugar con un controlador, mientras un juego tan sencillo como este no tiene el menor problema.



Explicado el juego y su funcionamiento, tan solo te queda probarlo. En la propia página de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login podemos ver los distintos cambios que se hacen para mejorar la experiencia de juego (por ejemplo, se pasó de 99 a 75 jugadores para que todo fuera menos caótico), y aunque sea gratis, si te apetece colaborar con el desarrollador del juego, puedes hacerlo a través de su perfil de Patreon, en el que acepta suscripciones a partir de un dólar al mes.





Así que si eres fan de Mario como yo, te invito a que juegues y nos comentes tu experiencia en este post 





Fuente:Genbeta

Libra es la nueva criptomoneda de Facebook: basada en blockchain, con el apoyo de más de 100 compañías y con un monedero digital propio


Facebook ya tiene su moneda digital para pagar por internet. Libra es el nombre de la nueva moneda digital basada en Blockchain que estará apoyada por más de 100 grandes compañías financieras, entre ellas MasterCard, Visa o Paypal. Pero Libra es la base, la moneda digital en la que se basarán el resto de servicios de pagos. Entre ellos el de Facebook, que se llamará Calibra.

Calibra será una cartera digital que permitirá almacenar y utilizar la nueva moneda digital Libra. Es decir, una plataforma de pagos para Facebook, Messenger y WhatsApp que existirá como aplicación independiente en iOS y Android. Una cartera conectada para todo el mundo y multiplataforma, una cartera que permitirá enviar dinero rápidamente y estará basada en esta nueva moneda digital en la que ya nos explican desde el inicio que no se encontrará en manos de Facebook.


Así funcionará Calibra, la nueva plataforma de pagos de Facebook basada en Libra. Un enorme proyecto que llega como empresa subsidiaria de Facebook y operará de forma independiente. Una empresa que será la cara visible de Facebook para el uso de Libra, una moneda ideada para intentar no caer en los mismos problemas que hasta ahora han tenido el resto de criptomonedas.





La Asociación Libra es una organización independiente sin ánimo de lucro cuya sede estará en Suiza. Entre los 28 miembros fundadores se encuentran compañías de pagos como Mastercard, Visa o Paypel, empresas de tecnología como eBay, Lyft, Uber, Spotify o la propia Facebook Calibra y también empresas especializadas en Blockchain como Anchorage o Coinbase.

Libra (≋) es una moneda de código abierto basada en Blockchain, al igual que otras criptomonedas como Bitcoin. Para su desarrollo se ha contado con un grupo de ingenieros, entre los cuales se encuentran algunos miembros de Facebook.

Aunque la asociación es responsable de la toma final de decisiones de Libra, se espera que Facebook mantenga un rol de liderazgo durante 2019 para impulsar su uso. Aunque una vez se establezca, Facebook promete que tendrá un rol equivalente al del resto de compañías que participan en Libra.

Para luchar contra la volatilidad, Libra estará respaldada en su totalidad por la Reserva de Libra, una colección de monedas y otros activos que se usa como aval de cada Libra creada.


Cuáles son las diferencias entre Libra y Calibra

Libra es la moneda digital, Calibra será la cartera de Facebook. Es decir, Libra es la criptomoneda que utilizarán las distintas empresas y Calibra es el nombre que recibirá la plataforma de pagos de Facebook. El sistema de pagos donde podremos almacenar, enviar y a través del cual podremos pagar con la moneda Libra.

Calibra de hecho se ha formalizado también como una empresa subsidiaria de Facebook que actuará de forma independiente. Y es que entre los miembros fundadores de la Asociación Libra, se encuentra inscrita Calibra Facebook, no Facebook como tal.

¿Cuándo y dónde estará Calibra disponible?


Calibra se encuentra actualmente en desarrollo, pero se espera su llegada para 2020. Por el momento, la compañía ya ha activado un enlace para registrarse. La plataforma de pagos de Calibra estará disponible como aplicación independiente en Google Play y la App Store, además se podrá utilizar directamente en las aplicaciones de WhatsApp y Messenger. Es decir, Calibra será la encargada de permitir poder enviar dinero a través de las aplicaciones de Facebook.

La primera versión de Calibra admitirá pagos entre pares y otras transacciones de este tipo, como códigos QR que los pequeños comerciantes pueden usar para aceptar pagos en Libra. Con el transcurso del tiempo, se incorporarán otras, incluidos pagos en la tienda, integraciones en sistemas de punto de ventas y más.


¿Cuál será el coste de usar Libra y Calibra?




Libra es una moneda digital que estará disponible en todo el mundo y al igual que otras criptomonedas, se podrá utilizar para realizar pagos normales como comprar un café o pagar el transporte público. A través de la cartera digital Calibra, también podremos almacenar Libras y por tanto ahorrar dinero.

Cada vez que envíes o gastes dinero a través de Calibra, lo que harás es gastar en realidad Libra. Pese a ello, también se podrá convertir las monedas locales en Libra y viceversa. Al hacer estas conversiones, la aplicación de Calibra te mostrará la tasa de cambio para que sepas exactamente cuánto dinero se obtendrá.

El uso de Calibra no estará exento de comisiones, aunque Facebook promete que serán bajas y transparentes. En especial al enviar dinero al exterior.


Enfoque de Calibra sobre la privacidad de los usuarios

Cuando Calibra esté disponible, se necesitará presentar un documento de identificación oficial para registrarte en la cuenta. Esto es debido a que al ser una moneda legal, se quiere evitar fraudes y comprobar la identidad real de las personas.

Facebook explica que "la actividad de cada transacción en Calibra será privada y jamás se hará pública". El enfoque de privacidad de los datos de los consumidores es uno de los aspectos que ha sido más detallado:

Salvo en casos limitados, Calibra no compartirá información de cuentas ni datos financieros con Facebook, ni con ningún tercero sin el consentimiento del cliente. Por ejemplo, la información y los datos financieros no se utilizarán para mejorar los anuncios de Facebook. Si bien, sí habrá algunas excepciones: prevención de fraudes y delitos, cumplimiento de la ley, proveedores de servicios y procesamientos de pagos y datos globales.

No ofrece tanta confianza la descripción de estos dos últimos puntos.


"Cuando se autoriza un pago, compartimos los datos necesarios para procesar dicha transacción con terceros. También compartimos datos de clientes de Calibra con proveedores administrados o de servicios (incluido Facebook, Inc.) que nos permiten operar nuestra empresa (p. ej., para prestar servicios de infraestructura técnica o procesamiento directo de pagos). En ambos casos, solamente compartimos los datos de clientes de Calibra necesarios para completar la prestación del servicio o actividad definidos".

"Calibra puede compartir datos globales con Facebook, Inc. o terceros, relacionados con el rendimiento de sus productos y servicios. Un ejemplo sería un gráfico donde aparezca el número total de usuarios del servicio. Calibra usará técnicas para prevenir que los datos globales se puedan vincular con una persona".


Adicionalmente, explican que Calibra usará los datos globales de Facebook que no estén vinculados a la cuenta de Calibra para mejorar el producto.


Respecto al resto de monederos digitales basados en Libra, se desconoce el nivel de privacidad que podrían ofrecer pero se encontrarían totalmente desligados de Facebook.

Seguridad y protección al consumidor



Todas las cuentas de Calibra estarán verificadas y la aplicación contará con protecciones contra el fraude. Además, Calibra tendrá herramientas de informes y un servicio de atención al cliente dedicado en la aplicación. Adicionalmente, en el caso de que se realice una transacción no autorizada, recibiremos un reembolso total.

Calibra hará efectiva los regímenes de sanciones internacionales y promete cumplir los programas de sanciones de los EE.UU, la Unión Europea y la ONU.


Disponibilidad

Inicialmente Calibra estará disponible en países seleccionados, aunque se irá ampliando la disponibilidad a partir de 2020, fecha de su lanzamiento. Pese a que otras compañías se encuentran en la Asociación Libra, se espera que Calibra sea el primer monedero digital en ser compatible con Libra.











Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SACK Panic: la vulnerabilidad detectada por Netflix que lleva en Linux más de 10 años

Aunque por lo general cuando hablamos de vulnerabilidades o fallos de seguridad solemos hacer referencia a Windows, los demás sistemas operativos, como Linux y macOS, también suelen verse afectados por importantes fallos que pueden poner en peligro la seguridad y estabilidad de los equipos o servidores que los ejecutan. Hoy es es turno de hablar de SACK Panic, una de las 3 nuevas vulnerabilidades encontradas en Linux por investigadores de Netflix que llevan poniendo en peligro los sistemas desde hace más de 10 años.

Un investigador de seguridad de Netflix daba a conocer hace algunas horas una serie de vulnerabilidades que había descubierto en el Kernel Linux y que afectaba a cualquier distribución basada en Linux, así como a FreeBSD. Estos fallos se encuentran en la forma en la que el Kernel Linux procesa las conexiones TCP y, al explotarlas, puede dar lugar a un Kernel Panic, el equivalente al pantallazo azul de Linux.

SACK Panic es la vulnerabilidad más importante y crítica de estas 3. Esta ha sido registrada como CVE-2019-11477 y ha sido considerada como de peligrosidad importante con una nota de 7.5 sobre 10 en CVSS3. Las otras dos vulnerabilidades, CVE-2019-11478 y CVE-2019-11479, han sido consideradas como vulnerabilidades de peligrosidad moderada.


SACK Panic: la vulnerabilidad que puede generar un Kernel Panic en tu ordenador o servidor


Como hemos dicho, la vulnerabilidad más grave de las 3 encontradas por los investigadores de Netflix es SACK Panic. Este fallo de seguridad afecta a cualquier distro Linux o servidor que utilice este sistema operativo, como Ubuntu, Debian, Red Hat, SUSE o AWS, entre otros, con un Kernel 2.6.29 o posterior.

Para explotar el fallo de seguridad simplemente hay que enviar una secuencia de segmentos SACK a una conexión TCP especialmente diseñada que cuenten con un valor bajo de MSS. Esto hace que los enteros se desborden y, por lo tanto, se genere un Kernel Panic en el sistema, forzando un reinicio del mismo.

SACK Slowness y el otro fallo de seguridad

Aunque SACK Panic es la vulnerabilidad más grave, también se han dado a conocer otros dos fallos de seguridad que afectan al Kernel Linux.

El segundo de los fallos ha sido denominado como SACK Slowness (CVE-2019-11478), y se puede explotar fácilmente enviando una secuencia elaborada de paquetes SACK para fragmentar la cola de retransmisión de la conexión TCP.

El tercero de los fallos no tiene un nombre como tal, pero ha sido registrado como CVE-2019-11479. Este fallo permite a un atacante realizar un ataque DoS a un sistema enviando paquetes con un valor bajo de MSS para disparar el consumo de recursos en el sistema.

Por el momento ninguna de las 3 vulnerabilidades tiene logotipo oficial ni una página web donde se expliquen con detalle estos fallos. Si queremos conocer más información detallada sobre los fallos, podemos verlos en el boletín de seguridad de Netflix, publicado en GitHub.


Cómo protegernos de SACK Panic


Bajo el boletín de seguridad NFLX-2019-001, Netflix ha publicado sus correspondientes parches de seguridad para solucionar estas vulnerabilidades en el Kernel Linux.

La mejor forma de protegerse de estos problemas es instalando estos parches tan pronto como sea posible, aunque la instalación manual puede ser un poco complicada para algunos usuarios. Si no queremos complicarnos, es mejor esperar un poco a que llegue una nueva versión del Kernel Linux que ya incluya estos parches y nos permitan estar protegidos.

Además, si queremos protegernos manualmente, también podemos deshabilitar SACK cambiando el valor de /proc/sys/net/ipv4/tcp_sack a 0 (cero) de manera que esta característica quede desactivada y no se pueda explotar la vulnerabilidad.






Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login